La campagna di cyberspionaggio del gruppo Palmerworm — BlackTech
Hacker di stato e le nuove campagne di cyberspionaggio — Andrea Biraghi
Cyberspionaggio: una nuova campagna di spionaggio condotta da un gruppo hacker sponsorizzato dallo stato è attiva con l’intento di rubare informazioni.
Leggi su Andrea Biraghi Blog
Il Threat Hunter Team di Symantec, una divisione di Broadcom (NASDAQ: AVGO), che lo ha scoperto, ha precisato che gli attacchi — diretti contro organizzazioni in Cina, Taiwan, Giappone e Stati Uniti — sono stati collegati ad un gruppo di spionaggio noto come Palmerworm — alias BlackTech — che ha una storia di campagne che risalgono al 2013. I suoi attacchi sono rimasti inosservati su un sistema compromesso per quasi sei mesi, prendendo di mira le organizzazioni nei settori dei media, dell’edilizia, dell’ingegneria, dell’elettronica e della finanza.
L’analisi Symantec della campagna del gruppo Palmerworm — BlackTech
Gli strumenti utilizzati sono dual-use e malware personalizzato,da utilizare solo quando necessario:
- Backdoor.Consock
- Backdoor.Waship
- Backdoor.Dalwit
- Backdoor.Nomri
Oltre a queste 4 backdoor, vengono utilizzati diversi strumenti a duplice uso, tra cui: Putty, PSExec, SNScan — per la ricognizione di rete — e WinRAR. Il malware trojan fornisce agli aggressori una backdoor segreta nella rete: PSExec e SNScan, vengono sfruttati per muoversi nella rete e WinRar viene utilizzato per comprimere i file, rendendoli più facili per gli aggressori da estrarre.
Leggi l’analisi su Symantec.it
